您的位置:永利国际官网登录 > 网络科技 > 当大家研商区块链安全时,展现区块链技巧及道

当大家研商区块链安全时,展现区块链技巧及道

发布时间:2019-07-18 20:31编辑:网络科技浏览(195)

    智能合约

    9月11日,奇虎360在联合国区块链国际安全标准会议上,提交了5项关于分布式账本技术安全的标准提案,位列中国第一,获多国专家赞同。

    另外,智能合约需要在去中心化与中心化之间寻求平衡。由于去中心化下通过“群体智慧”的决策机制在复杂问题面前的缺陷,因此,智能合约需要考虑如何在去中心化与中心化之间寻求平衡。一方面,可以探索渐进去中心化的智能合约模式;另一方面,可以对智能合约编程采用“深度防卫范式”,尽可能多地添加安全保护层,以达到减少漏洞影响的目的。

    丘吉尔说,民主并不是什么好东西,但它是我们迄今为止所能找到的最好的。

    除此之外,区块链自身存在的51%攻击,秘钥安全隐患等问题也都时有发生。

    DAO带来的思考

    来源:微信公众号“人民创投(ID:renminct)”

    关于区块链的安全问题,每一次事故都会有所警醒、有所改进。但这些警醒和改进都是暂时的,需要一个长期的、持续的安全管理机制来持久保证区块链长期安全。这也成为以360为代表的安全企业的莫大的机会。

    基于区块链技术的去中心化应用平台,虽然具备许多中心化平台所不具备的优势,但去中心化不等同于去中介,用户与技术人员之间仍然存在委托代理关系。由于平台过度依赖于技术人员的专业水平,在缺乏对技术人员足够约束的前提下,拥有专业垄断优势的技术人员有激励在应用平台上留下风险漏洞甚至后门,由此引发道德风险。因此,即使The DAO被攻击的技术漏洞不是技术人员故意留下,但仍然无法保证未来技术人员与攻击者之间不会形成合谋。

    一度充斥着“造富神话”的数字货币市场趋凉,以区块链技术为噱头的泡沫渐渐消逝,安全的问题也一步步凸显出来。安全是技术发展的根基,一行代码葬送一个项目的事情频频发生,向我们敲响了警钟。只有在安全问题上防微杜渐慎之又慎,被寄予厚望的区块链技术才能越走越远。

    ■ 5月25日,360公司Vulcan团队发现了区块链平台EOS的一系列高危安全漏洞,部分漏洞可以远程控制和接管EOS上运行的所有节点,完全控制虚拟货币交易。360安全大脑“史诗级漏洞”的发现,帮助EOS避免了百亿美金的损失

    ■ 5月29日,360与币安、北京欧链科技有限公司(OracleChain)达成安全方面的深度合作,为其提供一系列智能合约项目的代码审计,且在项目方代码升级后持续提供安全审计服务。

    ■ 6月28日,360集团与雄安新区签署战略合作,将充分发挥360在网络安全、大数据、人工智能、区块链等技术领域的优势,为建设安全可靠的“数字雄安”提供全面的网络安全服务。

    The DAO是德国初创公司Slock.it的开源项目,是以太坊上以智能合约形式运行的去中心化自治组织。黑客利用The DAO智能合约中递归调用存在的漏洞对其进行攻击,实现了在单个交易过程中多次支取以太币,从而将The DAO众筹项目的350万个以太币转移到其创立的“子DAO”中。如果放任其发展且没有任何措施,按照规则黑客在27天后可以将这些以太币提取。

    参考资料:

    对360而言,安全业务是区块链这场乱战之局的大龙,也是其守护网络安全环境义不容辞的责任。

    首先,区块链技术应用平台的风险需高度关注。即使区块链技术本身没有问题,但The DAO被攻击事件反映出基于区块链技术应用平台的技术风险可能将长期存在。未来基于区块链技术的应用平台在风险防控上必须引起高度重视,一旦代码或智能合约存在漏洞,将存在被攻击的风险。由于区块链所具有的不可篡改和不可逆的性质,一旦遭到黑客攻击,无论是硬分叉还是软分叉的解决方案,其成本都相当高昂。因此,区块链技术在金融等场景的应用上,需要高度关注潜在的风险,并制定相应的风控措施和应急预案。

    值得庆幸是,区块链安全问题引来的越来越多人的关注。当黑客,也就是“黑帽子”们在利用漏洞攫取利润之时,一些安全专家和技术极客站到一起,成为了区块链安全的维护者和捍卫者,他们努力提前发现漏洞并通知项目方,以防被“黑帽子”利用,他们就是区块链界的“白帽子”。

    单点防御就是“只见树木不见森林”,把大数据、人工智能、区块链等技术结合起来,才能“既见树木又见森林”

    除了安全漏洞本身,智能合约是否具有法律属性的争议和存在的监管空白,在客观上为此次黑客实现“代码套利”的攻击创造了机会。如果后续没有相应的法律和监管制度体系的及时跟进,那么除非在技术上实现零安全漏洞,否则还将发生的类似黑客攻击行为将可能彻底改变区块链应用平台的生态环境,从而影响人们对于区块链技术应用前景的信心。因此,提前加强相关的法律和监管制度体系的研究,对于区块链技术应用整体的健康发展具有十分重要的意义。

    区块链的世界里也是如此,谁掌握了51%的话语权,谁就可以肆意更改自己的交易记录,发动“双花”攻击。不同的共识机制对于话语权的定义有所不同,在PoW中为算力,而在PoS中则是持有Token的数量。

    再比如BEC美链4月被黑客攻击事件。BEC的合约代码:BeautyChain 美蜜出现严重bug,可以通过合约的批量转账的功能,无限复制token。而类似美链这样的安全问题,有几十个基于以太坊ERC20的数字货币都有出现这样的问题

    该事件反映出区块链技术整体还处于测试阶段,去中心化的智能合约无法避免技术上的操作风险和主观上的道德风险等问题。该事件还带给我们诸多启示:区块链技术应用平台的风险需高度关注,应提前研究相关法律和监管制度体系,完善区块链技术应用的投资者保护机制,智能合约需要在去中心化与中心化之间寻求平衡,数字货币的发展需要突破区块链的技术障碍。

    本文来源于人人都是产品经理合作媒体@人民创投,作者@黄玲丽

    C端用户的安全问题上,360也有推进——360安全卫士发布区块链防火墙功能,用于解决在用户使用数字货币等区块链相关的产品时,遇到的剪贴板被篡改、数字货币钱包被攻击、账户密码被窃取等安全问题。

    由于智能合约领域尚处于初始阶段,可能发生的失误难以避免。类似DAO这样的组织其创建的困难在技术上需要程序代码的正确性,还要克服投票系统难以预测的动态性可能会带来的潜在缺陷。去中心化下的组织投票是一个复杂的人类活动过程,其决策程序依赖于“群体智慧”,在正式化之前需要反复试验和验证。“群体智慧”需要个体的理性,然而个体理性下的行动并不一定带来群体理性,特别是在复杂问题面前,“群体智慧”的方式并非最优的选择。

    来源:

    360的区块链探索,再次展现了自身在安全领域的实力,也一举奠定其在区块链安全领域的领导地位。

    其次,区块链技术应用的法律和监管制度体系应提前研究。

    2018年3月20日,慢雾科技披露以太坊黑色情人节盗币事件,曝光长达两年之久的自动化盗币行为,其造成的损失达近5万多枚以太币及数量巨大的各类代币。

    对于360而言,安全业务是任何时期的主心骨,而在区块链安全问题频发的2018年上半年,360似乎找到了最好的机会。

    风险VS漏洞

    阻止51%攻击的最后一道防线,便是攻击成功很可能导致数字货币的价值归零,从长远角度看攻击者反而会蒙受巨大的损失。可是,Verge再三受到攻击,比特黄金也难以幸免,频频发生的51%攻击面前,最后一道防线显得疲弱无力。

    在目前已上线的360区块链安全平台上,360对外提供钱包、矿池、交易所、智能合约和EOS超级节点等安全解决方案,几乎涵盖了区块链生态中所有业务。

    The DAO项目出现安全漏洞的直接原因被认为是The DAO团队能力不够,缺乏对于代码的复核机制,从客观上反映出智能合约背后人为因素带来的操作风险。随着基于区块链技术的去中心化的智能合约将应用于越来越复杂的场景,其程序代码的复杂性和技术难度也将随之增加。因此,即使再优秀的团队和完备的代码复核机制,仍然无法在事前保证不存在任何安全漏洞。那么,技术上存在的操作风险将成为留给黑客攻击的漏洞。从这个意义来看,类The DAO区块链应用项目将决不是被黑客攻击的最后案例。

    2018年5月29号,360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。

    网络安全风险正从传统的信息安全扩展到涉及基础设施、经济社会等诸多层面。

    最后,数字货币的发展需要突破区块链的技术障碍。区块链是加密数字货币的基础设施,是发行、流通和结算的技术实施渠道,国家发行的加密数字货币离不开区块链的发展。区块链要稳步发展,成为能提供稳定架构的国家发行的加密货币,这需要技术、商业设计、实践和监管适应。在这个过程中,主流的金融机构和监管以及普遍的消费大众对于The DAO 这样事件的容忍程度是非常有限的。所以开辟监管沙盒,建立严谨的发展规划和设计,尽量找到能使区块链现有特征得到充分体现并且能突破区块链发展障碍的运用案例,减少“试错成本”是区块链和国家发行数字货币的重要条件。

    Code is Law,和传统软件开发中的迭代更新不同,为了保证代码的可信性,以太坊中的合约一旦部署就再没有修改的可能。我们当然不能期智能合约一旦发布就可以完美无瑕地运行下去,一行有缺陷的代码可能就会将整个合约推向万劫不复之地。

    关于区块链、加密数字货币的安全一直以来都是热点话题。区块链已经发生了多次安全事故,比如著名的The DAO事件

    再者,区块链技术应用的投资者保护机制需要完善。The DAO作为一个众筹的VC平台,从资产管理角度给我们的启示是,在资本回撤过程中,投资者没有任何合规和风险控制保障。由于该平台缺乏法律责任主体,导致出现攻击事件后投资者无法通过法律程序来保障自身的利益。现实世界中,投资的监管和法规日趋严格和复杂,因此智能合约的代码中需要体现并完善对投资者的保护机制。

    本文由永利国际官网登录发布于网络科技,转载请注明出处:当大家研商区块链安全时,展现区块链技巧及道

    关键词: 永利国际官网

上一篇:没有了

下一篇:没有了